Bearbeiten

Freigeben über


Verwalten von mandantenübergreifenden Zugriffseinstellungen für die B2B-Zusammenarbeit

Gilt für: Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Weißer Kreis mit grauem X-Symbol. Externe Mandanten (weitere Informationen)

Verwenden Sie Einstellungen für den mandantenübergreifenden External Identities-Zugriff, um die Zusammenarbeit mit anderen Microsoft Entra-Organisationen über B2B Collaboration zu verwalten. Diese Einstellungen bestimmen sowohl den Grad des eingehenden Zugriffs, den Benutzer in externen Microsoft Entra Organisationen auf Ihre Ressourcen haben, als auch den Grad des ausgehenden Zugriffs, den Ihre Benutzer auf externe Organisationen haben. Darüber hinaus können Sie den MFA-Ansprüchen (Multi-Faktor-Authentifizierung) und Geräteansprüchen (Ansprüche von konformen Geräten und von Microsoft Entra Hybrid Join-Geräten) von anderen Microsoft Entra-Organisationen vertrauen. Ausführliche Informationen und Überlegungen zur Planung finden Sie unter Übersicht: Mandantenübergreifender Zugriff mit Microsoft Entra External ID.

Zusammenarbeit über Clouds hinweg: Partnerorganisationen in verschiedenen Microsoft-Clouds können die B2B-Zusammenarbeit miteinander einrichten. Zunächst müssen beide Organisationen die Zusammenarbeit miteinander aktivieren, wie in Konfigurieren von Microsoft-Cloudeinstellungen beschrieben. Anschließend kann jede Organisation optional ihre Einstellungen für eingehenden Zugriff und Einstellungen für ausgehenden Zugriff ändern, wie unten beschrieben.

Wichtig

Microsoft beginnt am 30. August 2023 mit der Umstellung von Kunden mit mandantenübergreifenden Zugriffseinstellungen auf ein neues Speichermodell. Möglicherweise bemerken Sie einen Eintrag in Ihren Überwachungsprotokollen, der Sie darüber informiert, dass Ihre mandantenübergreifenden Zugriffseinstellungen aktualisiert wurden, während ihre Einstellungen von unserer automatisierten Aufgabe migriert werden. Für ein kurzes Zeitfenster können Sie während der Migrationsprozesse keine Änderungen an Ihren Einstellungen vornehmen. Wenn Sie keine Änderung vornehmen können, sollten Sie einige Augenblicke warten und es erneut versuchen. Nach Abschluss der Migration sind Sie nicht mehr auf 25 KB Speicherplatz begrenzt, und die Anzahl der Partner, die Sie hinzufügen können, ist nicht mehr begrenzt.

Voraussetzungen

Achtung

Wenn Sie die Standardeinstellungen für eingehenden oder ausgehenden Zugriff in Zugriff blockieren ändern, kann der vorhandene unternehmenskritische Zugriff auf Apps in Ihrer Organisation oder Partnerorganisation blockiert werden. Verwenden Sie unbedingt die beschriebenen Tools unter Mandantenübergreifender Zugriff in Microsoft Entra External ID und konsultieren Sie die Interessengruppen Ihres Unternehmens, um den erforderlichen Zugang zu ermitteln.

  • Lesen Sie den Abschnitt Wichtige Überlegungen unter Übersicht: Mandantenübergreifender Zugriff mit Azure AD External Identities (Vorschau), bevor Sie Ihre mandantenübergreifenden Zugriffseinstellungen konfigurieren.
  • Verwenden Sie die Tools und befolgen Sie die Empfehlungen in Identifizierung von eingehenden und ausgehenden Anmeldungen um zu verstehen, auf welche externen Microsoft Entra Organisationen und Ressourcen die Benutzer gerade zugreifen.
  • Legen Sie die Standardzugriffsebene fest, die Sie auf alle externen Microsoft Entra-Organisationen anwenden möchten.
  • Identifizieren Sie alle Microsoft Entra-Organisationen, die angepasste Einstellungen benötigen, damit Sie Organisationsbezogen Einstellungen für sie konfigurieren können.
  • Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer, Gruppen oder Anwendungen in einer externen Organisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um erforderliche Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.
  • Wenn Sie die B2B-Zusammenarbeit mit einer Partnerorganisation in einer externen Microsoft Azure-Cloud einrichten möchten, führen Sie die Schritte unter Konfigurieren der Microsoft-Cloudeinstellungen aus. Ein Administrator in der Partnerorganisation muss denselben Vorgang für Ihren Mandanten ausführen.
  • Sowohl die Einstellungen für die Erlaubnis-/Blockierliste als auch für den mandantenübergreifenden Zugriff werden zum Zeitpunkt der Einladung überprüft. Wenn sich die Domäne eines Benutzers in der Zulassungsliste befindet, kann er bzw. sie eingeladen werden, sofern die Domäne nicht ausdrücklich in den mandantenübergreifenden Zugriffseinstellungen blockiert ist. Wenn sich die Domäne eines Benutzers in der Blockliste befindet, kann er bzw. sie unabhängig von den Einstellungen für den mandantenübergreifenden Zugriff nicht eingeladen werden. Wenn ein Benutzer nicht in einer Liste enthalten ist, werden die Einstellungen für den mandantenübergreifenden Zugriff überprüft, um zu ermitteln, ob er bzw. sie eingeladen werden kann.

Konfigurieren von Standardeinstellungen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Mandantenübergreifende Standardzugriffseinstellungen gelten für alle externen Organisationen, für die Sie keine organisationsspezifischen benutzerdefinierten Einstellungen erstellt haben. Wenn Sie die von Microsoft Entra ID bereitgestellten Standardeinstellungen ändern möchten, führen Sie die folgenden Schritte aus.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie die Registerkarte Standardeinstellungen aus, und sehen Sie sich die Seite mit der Zusammenfassung an.

    Screenshot: Einstellungen für den mandantenübergreifenden Zugriff „Registerkarte Standardeinstellungen“

  4. Wählen Sie zum Ändern der Einstellungen den Link Standardwerte für Eingangsdaten bearbeiten oder Standardwerte für Ausgangsdaten bearbeiten aus.

    Screenshot: Bearbeitungsschaltflächen für Standardeinstellungen.

  5. Ändern Sie die Standardeinstellungen anhand der ausführlichen Schritte in diesen Abschnitten:

Hinzufügen einer Organisation

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Einstellungen für bestimmte Organisationen zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus.

  3. Wählen Sie Organisation hinzufügen aus.

  4. Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.

    Screenshot: Hinzufügen einer Organisation.

  5. Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.

  6. Die Organisation wird in der Liste Organisationseinstellungen angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Um die Einstellungen für diese Organisation zu ändern, wählen Sie in der Spalte Zugriff auf eingehenden Datenverkehr oder Zugriff auf ausgehenden Datenverkehr den Link Geerbt von Standard aus.

    Screenshot: Hinzufügen einer Organisation mit Standardeinstellungen.

  7. Ändern Sie die Einstellungen der Organisation anhand der ausführlichen Schritte in diesen Abschnitten:

Ändern der Einstellungen für eingehenden Zugriff

Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Standardeinstellungen: Wählen Sie zum Ändern der Standardeinstellungen für den eingehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf eingehenden Datenverkehr die Option Standardwerte für Eingangsdaten bearbeiten aus.
    • Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf eingehenden Datenverkehr aus.
  4. Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:

Hinweis

Wenn Sie die nativen Freigabefunktionen in Microsoft SharePoint und Microsoft OneDrive mit aktivierter Microsoft Entra B2B-Integration verwenden, müssen Sie die externen Domänen zu den Einstellungen für die externe Zusammenarbeit hinzufügen. Andernfalls können Einladungen aus diesen Anwendungen fehlschlagen, auch wenn der externe Mandant in den mandantenübergreifenden Zugriffseinstellungen hinzugefügt wurde.

So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus

  3. Wählen Sie den Link in der Spalte Eingehender Zugriff und die Registerkarte B2B-Zusammenarbeit aus.

  4. Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine Option aus:

    • Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für den eingehenden Zugriff verwenden soll (wie auf der Registerkarte Standardeinstellungen konfiguriert). Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden sollen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  5. Wählen Sie Externe Benutzer und Gruppen aus.

  6. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.

    Screenshot: Auswahl des Benutzerzugriffsstatus für die B2B-Kollaboration.

  7. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Benutzer und Gruppen: wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Benutzer*innen und Gruppen aus externen Microsoft Entra-Organisationen an.
    • Externe Benutzer und Gruppen auswählen (erfordert ein Microsoft Entra ID P1 oder P2 Abonnement): Ermöglicht die Anwendung der Aktion, die Sie unter Zugriffsstatus für bestimmte Benutzer und Gruppen innerhalb der externen Organisation.

    Hinweis

    Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle Ihre internen Anwendungen blockieren (auf der Registerkarte Anwendungen).

    Screenshot: Auswahl der Zielbenutzer und -gruppen.

  8. Wenn Sie Ausgewählte Benutzer und Gruppen ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
    • Geben Sie im Bereich Weitere Benutzer und Gruppen hinzufügen im Suchfeld die Benutzerobjekt-ID oder Gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
    • Wählen Sie im Menü neben dem Suchfeld entweder Benutzer oder Gruppe aus.
    • Wählen Sie Hinzufügen.

    Hinweis

    Sie können keine Benutzer oder Gruppen in den Standardeinstellungen für eingehenden Datenverkehr anvisieren.

    Screenshot: Hinzufügen von Benutzern und Gruppen.

  9. Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Übermitteln aus.

    Screenshot: Senden von Benutzern und Gruppen.

  10. Klicken Sie auf die Registerkarte Anwendungen.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.

    Screenshot: Zugriffsstatus der Anwendungen.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Anwendungen an.
    • Anwendungen auswählen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Anwendungen in Ihrer Organisation anwenden.

    Hinweis

    Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte Externe Benutzer und Gruppen).

    Screenshot: Zielanwendungen.

  13. Wenn Sie Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie im Bereich Auswählen den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot: Auswahl der Anwendungen.

  14. Wählen Sie Speichern.

Überlegungen zum Zulassen von Microsoft-Anwendungen

Wenn Sie mandantenübergreifende Zugriffseinstellungen so konfigurieren möchten, dass nur eine bestimmte Gruppe von Anwendungen zulässig ist, sollten Sie die in der folgenden Tabelle gezeigten Microsoft-Anwendungen hinzufügen. Wenn Sie beispielsweise eine Zulassungsliste konfigurieren und SharePoint Online nur zulassen, kann der Benutzer nicht auf Meine Apps zugreifen oder sich für MFA im Ressourcenmandanten registrieren. Um eine reibungslose Endbenutzerumgebung sicherzustellen, fügen Sie die folgenden Anwendungen in Ihre Einstellungen für die eingehende und ausgehende Zusammenarbeit ein.

Application Ressourcen-ID Im Portal verfügbar Details
Meine Apps 2793995e-0a7d-40d7-bd35-6968ba142197 Ja Standardmäßige Startseite nach eingelöster Einladung. Definiert den Zugriff auf myapplications.microsoft.com.
Microsoft-App-Zugriffspanel 0000000c-0000-0000-c000-000000000000 No Wird bei einigen verspätet gebundenen Anrufen beim Laden bestimmter Seiten in "Meine Anmeldungen" verwendet. Beispielsweise das Blatt "Sicherheitsinformationen" oder "Organisationen".
Mein Profil 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Ja Definiert den Zugriff auf myaccount.microsoft.com das Einschließen von "Meine Gruppen" und "Meine Zugriffsportale". Einige Registerkarten in "Mein Profil" erfordern die hier aufgeführten anderen Apps, um zu funktionieren.
Meine Anmeldungen 19db86c3-b2b9-44cc-b339-36da233a3be2 No Definiert den Zugriff auf den Zugriff mysignins.microsoft.com auf Sicherheitsinformationen. Lassen Sie diese App zu, wenn Benutzer sich für MFA im Ressourcenmandanten registrieren und verwenden müssen (z. B. ist MFA nicht vom Heimmandanten vertrauenswürdig).

Einige der Anwendungen in der vorherigen Tabelle lassen keine Auswahl über das Microsoft Entra Admin Center zu. Um sie zuzulassen, fügen Sie sie mit der Microsoft Graph-API hinzu, wie im folgenden Beispiel gezeigt:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Hinweis

Achten Sie darauf, alle zusätzlichen Anwendungen einzuschließen, die Sie in der PATCH-Anforderung zulassen möchten, da dadurch alle zuvor konfigurierten Anwendungen überschrieben werden. Bereits konfigurierte Anwendungen können manuell aus dem Portal oder durch Ausführen einer GET-Anforderung für die Partnerrichtlinie abgerufen werden. Beispiel: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Hinweis

Anwendungen, die über die Microsoft Graph-API hinzugefügt werden, die keiner im Microsoft Entra Admin Center verfügbaren Anwendung zugeordnet sind, werden als App-ID angezeigt.

Sie können die Microsoft Admin Portals-App nicht zu den Einstellungen für den eingehenden und ausgehenden mandantenübergreifenden Zugriff im Microsoft Entra Admin Center hinzufügen. Verwenden Sie die Microsoft Graph-API, um externen Zugriff auf Microsoft-Verwaltungsportale zu ermöglichen, um die folgenden Apps einzeln hinzuzufügen, die Teil der Microsoft Admin Portals-App-Gruppe sind:

  • Azure-Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra Admin Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender-Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune Admin Center (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview-Complianceportal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurieren der Einlösungsreihenfolge

Um die Reihenfolge der Identitätsanbieter anzupassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen, befolgen Sie diese Schritte.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie auf der Registerkarte Standardeinstellungen unter Einstellungen für eingehenden Zugriff die Option Eingehende Standardeinstellungen bearbeiten aus.

  4. Wählen Sie auf der Registerkarte B2B-Zusammenarbeit die Registerkarte Einlösungsreihenfolge aus.

  5. Verschieben Sie die Identitätsanbieter nach oben oder unten, um die Reihenfolge zu ändern, in der sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können die Einlösungsreihenfolge auch hier auf die Standardeinstellungen zurücksetzen.

    Screenshot mit Diagramm der Registerkarte Einlösungsreihenfolge.

  6. Wählen Sie Speichern.

Sie können die Einlösungsreihenfolge auch über die Microsoft Graph-API anpassen.

  1. Öffnen Sie den Microsoft Graph-Explorer.

  2. Melden Sie sich als Sicherheitsadministrator bei Ihrem Ressourcenmandanten an.

  3. Führen Sie die folgende Abfrage aus, um die aktuellen Einlösungsreihenfolge abzurufen:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. In diesem Beispiel verschieben wir den SAML/WS-Fed IdP-Verbund an den Anfang der Einlösungsreihenfolge über den Microsoft Entra-Identitätsanbieter. Patchen Sie den gleichen URI mit diesem Anforderungstext:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}
  1. Führen Sie die GET-Abfrage erneut aus, um die Änderungen zu überprüfen.

  2. Führen Sie die folgende Abfrage aus, um die Einlösungsreihenfolge auf die Standardeinstellungen zurückzusetzen:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed-Partnerverbund (Direkter Partnerverbund) für überprüfte Microsoft Entra ID-Domänen

Sie können nun Ihre verifizierte Microsoft Entra ID-Domäne hinzufügen, um die direkte Föderationsbeziehung einzurichten. Zuerst müssen Sie die Konfiguration des direkten Partnerverbunds im Admin Center oder über die API einrichten. Stellen Sie sicher, dass die Domäne nicht im selben Mandanten verifiziert wird. Sobald die Konfiguration eingerichtet ist, können Sie die Einlösungsreihenfolge anpassen. Der SAML/WS-Fed IdP wird als letzter Eintrag zur Einlösungsreihenfolge hinzugefügt. Sie können es in der Einlösungsreihenfolge nach oben verschieben, um sie über dem Microsoft Entra-Identitätsanbieter festzulegen.

Verhindern Sie, dass Ihre B2B-Benutzer und -Benutzerinnen Einladungen mit Microsoft-Konten einlösen

Um zu verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit ihren vorhandenen Microsoft-Konten einlösen oder eine neue Einladung erstellen, um die Einladung anzunehmen, befolgen Sie die Schritte unten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.

  2. Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.

  3. Wählen Sie unter Organisationseinstellungen den Link in der Spalte Eingehender Zugriff und auf der Registerkarte B2B-Zusammenarbeit aus.

  4. Wählen Sie die Registerkarte Einlösungsreihenfolge aus.

  5. Deaktivieren Sie unter Fallback-Identitätsanbieter das Microsoft-Dienstkonto (MSA).

    Screenshot der Option „Fallbackidentitätsanbieter“

  6. Wählen Sie Speichern.

Sie müssen zu jedem Zeitpunkt mindestens einen Fallback-Identitätsanbieter aktiviert haben. Wenn Sie Microsoft-Konten deaktivieren möchten, müssen Sie den Einmal-Passcode per E-Mail aktivieren. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, werden diese weiterhin bei folgenden Anmeldungen verwenden. Sie müssen ihren Einlösungsstatus zurücksetzen, damit diese Einstellung angewendet wird.

So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche

  1. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  2. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, wählen Sie Ja aus, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  3. Wählen Sie eine oder mehrere der folgenden Optionen aus:

    • Vertrauen Sie der Multi-Faktor-Authentifizierung von Microsoft Entra-Mandanten: Aktivieren Sie dieses Kontrollkästchen, um zuzulassen, dass Ihre Richtlinien für den bedingten Zugriff MFA-Ansprüchen von externen Organisationen vertrauen. Während der Authentifizierung überprüft Microsoft Entra ID die Anmeldeinformationen von Benutzer*innen auf einen Anspruch, dass die MFA abgeschlossen wurde. Falls nicht, wird im Basismandanten des Benutzers bzw. der Benutzerin eine MFA-Abfrage initiiert. Diese Einstellung wird nicht angewendet, wenn sich externe Benutzer mit differenzierten delegierten Administratorrechten (GDAP) anmeldet, wie sie beispielsweise von einem Techniker bzw. einer Technikerin bei einem Cloud-Dienstanbieter verwendet werden, der Dienste in Ihrem Mandanten verwaltet. Wenn sich ein externer Benutzender über GDAP anmeldet, ist MFA im Mandanten des Benutzenden immer erforderlich und im Mandanten der Ressource immer vertrauenswürdig. Die MFA-Registrierung eines GDAP-Benutzers wird außerhalb des Mandanten des Benutzers nicht unterstützt. Wenn Ihre Organisation über eine Anforderung verfügt, den Zugriff auf Techniker und Technikerinnen von Dienstanbietern auf der Grundlage von MFA im Mandanten der Benutzenden zu verweigern, können Sie die GDAP-Beziehung im Microsoft 365 Admin Center entfernen.

    • Konformen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, konformen Geräteansprüchen einer externen Organisation zu vertrauen, wenn deren Benutzer auf Ihre Ressourcen zugreifen.

    • Hybriden, in Microsoft Entra eingebundenen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, Ansprüchen von in Microsoft Entra eingebundenen Hybridgeräten einer externen Organisation zu vertrauen, wenn deren Benutzer*innen auf Ihre Ressourcen zugreifen.

    Screenshot: Vertrauenseinstellungen

  4. (Dieser Schritt gilt nur für Organisationseinstellungen.) Überprüfen Sie die Option Automatische Einlösung:

    • Einladungen automatisch beim Mandanten<Mandanten> einlösen: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer des angegebenen Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf diesen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den ausgehenden Zugriff überprüft.

    Screenshot: Kontrollkästchen für die eingehende automatische Einlösung

  5. Wählen Sie Speichern aus.

Zulassen der Benutzersynchronisierung mit diesem Mandanten

Wenn Sie eingehenden Zugriff für die hinzugefügte Organisation auswählen, werden die Registerkarte Mandantenübergreifende Synchronisierung und das Kontrollkästchen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren angezeigt. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung und in der Dokumentation zu Organisationen mit mehreren Mandanten.

Screenshot der Registerkarte „Mandantenübergreifende Synchronisierung“ mit dem Kontrollkästchen „Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren“

Ändern der Einstellungen für ausgehenden Zugriff

Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Navigieren Sie zu den Einstellungen, die Sie ändern möchten:

    • Wählen Sie zum Ändern der Standardeinstellungen für den ausgehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf ausgehenden Datenverkehr die Option Standardwerte für Ausgangsdaten bearbeiten aus.

    • Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf ausgehenden Datenverkehr aus.

  4. Wählen Sie die Registerkarte B2B-Zusammenarbeit aus.

  5. (Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine Optionen aus:

    • Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.

    • Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.

  6. Wählen Sie Benutzer und Gruppen.

  7. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzern und Gruppen in externe Organisationen für die B2B-Zusammenarbeit eingeladen werden.
    • Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.

    Screenshot: Zugriffsstatus von Benutzern und Gruppen für die B2B-Kollaboration.

  8. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • All <your organization> users (Alle -Benutzer): Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Benutzer und Gruppen an.
    • Ausgewählte <Organisation>-Benutzer*innen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Benutzer*innen und Gruppen anwenden.

    Hinweis

    Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).

    Screenshot: Auswahl der Zielbenutzer für B2B-Kollaboration.

  9. Wenn Sie Select <your organization> users and groups (Ausgewählte -Benutzer) ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add <your organization> users and groups (-Benutzer hinzufügen) aus.
    • Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
    • Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
    • Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.

    Hinweis

    Bei der Ausrichtung auf Ihre Benutzer und Gruppen können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft-Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzufügen, zu der der Benutzer gehört.

  10. Wählen Sie die Registerkarte Externe Anwendungen aus.

  11. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:

    • Zugriff zulassen: Ermöglicht es, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.
    • Zugriff blockieren: Verhindert, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.

    Screenshot: Zugriffsstatus von Anwendungen für die B2B-Kollaboration.

  12. Wählen Sie unter Gilt für eine der folgenden Optionen aus:

    • Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
    • Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.

    Hinweis

    Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).

    Screenshot: Anwendungsziele für B2B-Kollaboration.

  13. Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:

    • Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
    • Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
    • Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.

    Screenshot: Auswahl der Anwendungen für B2B-Kollaboration.

  14. Wählen Sie Speichern aus.

So ändern Sie die Einstellungen für ausgehenden Vertrauensstellungen

(Dieser Abschnitt gilt nur für Organisationseinstellungen.)

  1. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  2. Überprüfen Sie die Option Automatische Einlösung:

    • Einladungen automatisch beim Mandanten<Mandanten> einlösen: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer dieses Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf den angegebenen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den eingehenden Zugriff überprüft.

      Screenshot: Kontrollkästchen für die eingehende automatische Einlösung.

  3. Wählen Sie Speichern.

Entfernen einer Organisation

Wenn Sie eine Organisation aus ihren Organisationseinstellungen entfernen, werden die mandantenübergreifenden Standardzugriffseinstellungen für diese Organisation wirksam.

Hinweis

Wenn die Organisation ein Clouddienstanbieter für Ihre Organisation ist (die isServiceProvider-Eigenschaft in der partnerspezifischen Konfiguration von Microsoft Graph ist „true“), können Sie die Organisation nicht entfernen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Wählen Sie die Registerkarte Organisationseinstellungen aus.

  4. Suchen Sie die Organisation in der Liste, und wählen Sie dann das Papierkorbsymbol in der betreffenden Zeile aus.